NAS-okat fertőz a StorageCrypt zsaroló program

​Egy olyan zsaroló program lepleződött le, amely elsősorban hálózati (NAS) adattárolókon képes nagyon komoly károkat okozni.
 

A zsaroló programok többsége a Windows alapú számítógépeken lévő fájlokat ostromolja. Ezeket titkosítják, majd váltságdíjat követelnek. Sajnos az sem ritka, hogy a megfertőzött PC-kről e károkozók a hálózati megosztásokon is végig kódolják a fájlokat, így például egy vállalati környezetben még kiterjedtebb károkat képesek előidézni. Az azonban szerencsére már ritkább - de azért korántsem példa nélküli - hogy linuxos rendszerek is célkeresztbe kerülnek ransomware programok által. Vannak olyan zsaroló programok, amelyek kifejezetten webszerverek vagy adatbázisok kompromittálására alkalmasak, és Linux alatt is jól érzik magukat.
 
A legutóbb felfedezett, StorageCrypt nevű zsaroló program is Linux alatt életképes. Az eddigi vizsgálatok szerint elsősorban hálózati adattároló eszközöket, NAS-okat fertőz. Ehhez a korábbról már jól ismert SambaCry sérülékenységet használja ki, vagyis a Samba egyik komoly gyenge pontján keresztül igyekszik elérni a célját. E biztonsági rés kihasználásával ugyanis képessé válik kártékony fájlok internetről való letöltésére, illetve különféle parancsok végrehajtására.
 
A StorageCrypt a tényleges károkozáshoz szükséges állományát egy egyszerű wget parancs kiadásával szerzi be. Ezt követően nekilát a NAS-on lévő állományok letitkosításához. A kompromittált, tönkre tett fájlok nevét .locked kiterjesztéssel egészíti ki, majd egy szöveges állományt is elhelyez, amelyben közli a követeléseit. Ezzel a zsarolók tájékoztatják a felhasználót a történtekről, és 0,4-2 Bitcoint követelnek. Ezúttal is viszonylag részletes tájékoztatást adnak arról, hogy miként lehet Bitcoinhoz jutni.

A kliensek sincsenek biztonságban
 
A StorageCrypt fontos sajátossága, hogy a hálózati adattárolókról megpróbál átjutni a kliensekre. Ezt olyan módon igyekszik elérni, hogy a NAS-on minden egyes mappába bemásol egy kínai fájlnévvel és .exe kiterjesztéssel ellátott fájlt, illetve egy Autorun.inf nevű állományt. Ez utóbbival a célja nem más, mint hogy a lehetőségekhez mérten automatikusan el tudjon indulni, amikor a felhasználó egy fertőzött könyvtárt nyit meg a számítógépéről.
 
A StorageCryptnek jelenleg nincs olyan ellenszere, amivel a tönkretett fájlok helyreállíthatóvá válhatnának. Így csak a biztonsági mentésekre lehet hagyatkozni, már ha vannak. A zsarolóknak való fizetést a biztonsági cégek ez esetben sem javasolják.

A StorageCrypt esetében nagyon lényeges, hogy a NAS-okat tartsuk naprakészen, és azokra rendszeresen telepítsük a gyártók által kiadott frissítéseket.